У меня все проканало.. сам себе инет порубил - вылетел в мессаг "cannot connect to proxy"
Может просто из локального кеша у тебя все взялось??
Значит так. Давай разбираться.
Что мы должны сделать? Мы должны закрыть васе доступ к шлюзу.
и оставить его всем остальным. Правила исполняются сверху-вниз, жто значит, что если найдено удовлетворяющее правило, то дальше ничего не делается (это важно для дальнейших манипуляций)
Что мы делаем. Мы втыкаем в iptables командой -I (обязательно ею, чтобы данное правило стало ПЕРВЫМ в таблице) правило для адреса 192,168,0,ххх .
iptables -I INPUT -i eth0 -s 192.168.0.xxx -j DROP
разбираем.
-I - вставить В НАЧАЛО таблицы
INPUT - имя таблицы, в которую вставляем
-i - входящие пакеты
eth0 - интерфейс который слушаем (в твоем случае это может быть eth1 или еще какой - смотри сам, который интерфейс в твоем случае смотрит во ВНУТРЕННЮЮ сеть в ту, где сидит наш Вася)
-s 192.168.0.xxx - исходный адрес (адрес нашего Васи)
-j DROP - что именно мы делаем с этими пакетами - в данном случае бросаем.
Тааким образом, машинка получает пакет с исходным адресом 192.168.0.xxx и в таблице INPUT находит строчку что с ним делать - (вот где важно чтобы строка стояла первой - поскольку есди она стоит в конце, что можно сделать использовав команду -A вместо -I, то сработает команда, стоящая где-то в середине, разрешающая доступ в инет всем компам из адресного пространства 192,168,0,0/24) - а именно - ДРОПНУТЬ. и все..
Собственно.
Только что проверено на своем собственном компе, отработало по честному - меня отдропало.. 8-))
А вообще, этимо правилами можно рулить ВСЕ. Прочитай про iptables на
www.opennet.ru - там много интересного.
Натовые правила работают ПОСЛЕ правил таблицы INPUT/
>>> Может основное правило (ну которая в nat) перебивает эту
Нет. ты сам можешь указать, какие пакеты, откуда и куда и с какого интерфейса..
Читай внимательно, а строчку вбивай с соблюдением БОЛЬШИЕ или маленьке буквы.. 8-))
>>> Можети это правило только локальные пакеты дропает. Таким образом